**Turla**、**Uroburos**、**Venomous Bear**といったグループとの重複が知られている**Secret Blizzard**は、ロシアの諜報機関（FSB）と関連があると見られています。この集団は、ヨーロッパ、アジア、ウクライナの政府機関、外交機関、防衛関連組織、重要インフラを標的とすることで悪名高いです。 **Kazuar**は2017年から文書化されており、コードの系統は2005年にまで遡ることができます。その活動は、同じくFSBのために活動しているとされる**Turla**諜報グループと関連付けられています。このマルウェアは、2020年にヨーロッパの政府機関、2023年にはウクライナを標的とした攻撃で以前にも観測されています。 ### Kazuarの新アーキテクチャ **Microsoft**の研究者は、最近の**Kazuar**の亜種を分析し、カーネル、ブリッジ、ワーカーの3つの異なるコンポーネントからなるモジュール設計を明らかにしました。 * **カーネルモジュール**: タスクの管理、他のモジュールの制御、リーダーノードの選出、ボットネット内の通信とデータフローの調整を行う中央コーディネーターとして機能します。 * **ブリッジモジュール**: 選出されたカーネルリーダーとリモートのコマンド＆コントロール（C2）インフラストラクチャ間のトラフィックを中継する外部通信プロキシとして機能します。このモジュールは、HTTP、WebSockets、Exchange Web Services（EWS）などのプロトコルをサポートします。 * **ワーカーモジュール**: キーロギング、スクリーンショットキャプチャ、ファイルシステムからのデータ収集、システムおよびネットワーク偵察、電子メール/MAPIデータ収集（**Outlook**のダウンロードを含む）、ウィンドウ監視、最近のファイルの流出など、実際の諜報活動を実行します。 リーダー選出プロセスは、稼働時間、再起動頻度、中断回数などのメトリックに基づいて、内部的かつ自律的に行われます。非リーダーシステムは「サイレント」モードで動作し、ステルス性を高め、攻撃対象領域を削減するためにC2サーバーとの直接通信を回避します。 「カーネルリーダーは、他のカーネルモジュールに代わってブリッジモジュールと通信する選出されたカーネルモジュールであり、複数の感染ホストからの大量の外部トラフィックを回避することで可視性を低下させます」と**Microsoft**は説明しています。  *Kazuarの内部通信図（出典：Microsoft）* 内部通信は、Windows Messaging、Mailslots、名前付きパイプなどのIPC（プロセス間通信）メカニズムに依存しており、通常のシステムアクティビティに紛れ込みます。メッセージはAESで暗号化され、Google Protocol Buffers（Protobuf）を使用してシリアライズされます。  *Kazuarが収集するシステム情報の種類（出典：Microsoft）* **Microsoft**は**Kazuar**の柔軟性を強調しており、現在150以上の設定オプションをサポートしていると指摘しています。これらのオプションにより、オペレーターは特定のセキュリティバイパスの有効/無効化、タスクのスケジュール設定、データ窃盗のタイミングと流出チャンクサイズの制御、プロセスインジェクションの実行、タスクとコマンドの実行管理が可能になります。 セキュリティバイパス機能には、Antimalware Scan Interface（**AMSI**）バイパス、Event Tracing for Windows（**ETW**）バイパス、Windows Lockdown Policy（**WLDP**）バイパスが含まれるようになりました。 ### 緩和策 **Secret Blizzard**は通常、継続的な情報収集を容易にするために、侵害されたシステム上で長期的な永続性を目指しており、政治的に重要な文書や電子メールの内容に焦点を当てています。 **Microsoft**は、**Kazuar**のモジュール型アーキテクチャと高度に設定可能な性質により、検出が非常に困難であるため、静的シグネチャよりも行動検出方法を優先することを組織に推奨しています。